Periodi di conservazione per i log web

Naviga le tue risposte
5

Lavoro per un ASP che fornisce soluzioni bancarie

  • Scheda
  • servizi
  • Pagamenti
  • ACH
  • Servizi bancari online
  • E altri

Back Story: La nostra azienda fornisce una soluzione "tutto in uno" o parti di esso, siamo vincolati dalle agenzie di regolamentazione. Uno dei problemi che abbiamo incontrato è la conservazione. Siamo coinvolti per indagare su frodi, transazioni fraudolente, ecc. In particolare, il mio manager mi ha chiesto della conservazione dei weblog. La sua domanda era incentrata su FFIEC 2.0 Refresh. Parlando con il nostro Compliance Manager, non siamo riusciti a trovare nulla di specifico per discutere della conservazione dei dati. La maggior parte delle informazioni che ho visto sul sito web di FFIEC sono incentrate sulle pratiche commerciali e non sull'IT o sulla tecnologia. Tuttavia, quando ho originariamente composto questo post, ho visto un articolo molto pertinente relativo a questo argomento, ma è per PCI. Capisco anche con la mia domanda, ha delle pennellate molto ampie, nel senso che ho aperto questa questione normativa non solo al settore finanziario ma anche all'healthcare (HIPPA).

Durante la composizione di questo post, è stato visualizzato l'argomento: Dati Leggi di riserva per ISP in Nord America e Qual è la durata migliore per l'archiviazione della posta elettronica? , ma questa domanda è più in linea con le agenzie normative specifiche elencate di seguito.

È necessario sapere se esistono requisiti normativi per la conservazione del registro del server Web per:

  • SAS-70
  • FFIEC
  • SOX
  • HIPPA

Acquisiamo le informazioni di accesso e siamo stati informati che dobbiamo conservare i dati forensi per almeno 365 giorni e dati orari per almeno 30 giorni.

Non ho trovato nulla per sostanziarlo sul sito web della FFIEC, ad esempio. Sono sicuro che ci sono guide che affrontano questo.

Altri riferimenti correlati a questo Standard di sicurezza dei dati PCI (Payment Card Industry) Pagina 28

Requisiti di registrazione per PCI per applicazioni Web

Altre idee o suggerimenti?

    
posta Leptonator 01.03.2014 - 18:38
fonte

2 risposte

5

La maggior parte delle leggi e dei regolamenti non prescriverà intervalli di tempo specifici per la conservazione dei registri. Ad esempio i National Archives Records Control Schedules (RCS) variano a seconda del tipo di documento e sono regolabili dalla missione dell'agenzia e legislazione organica. Se non riesci a trovare di meglio, FEDERAL RCS è una base autorevole per specificare i tempi di conservazione. L'articolo di David Swifts nella SANS Reading Room SuccessEM SIEM e Log Management Strategies for Audit and Compliance fornisce una guida dettagliata e ponderata.

A general principal of compliance is to have a written policy. Auditors then check to confirm that the written policy is followed. By defining and documenting our events of interest (EOI), and providing a written copy to auditors, we improve our overall compliance, and meet our requirement for a written policy. Then instead of being held to someone else's interpretation of the regulation, provided of course that we have a legitimate supportable set of EOI definitions, we will be measured to an agreed up on standard.

Assicurati di includere i tuoi auditor in questa decisione o affronta la possibilità di un risultato negativo successivamente. Se si rifiutano di partecipare, documentarlo per iscritto; non contare sugli auditor che "ricordano" più tardi. Gli accordi verbali valgono solo la carta su cui sono scritti. Inoltre, documenta attentamente il processo decisionale (riunioni, referenze, partecipanti e dichiarazioni politiche) per evitare risultati negativi anni dopo. I tre input critici per preparare la documentazione per gli audit sono: azioni, attori e artefatti.

Si noti che i registri in base al procedimento giudiziario di un cattivo attore estenderanno i loro requisiti di conservazione per anni oltre la condanna dei perpetratori, anche per includere il termine della loro sentenza in caso di appello e assicurazioni sulla libertà vigilata.

Appendice 2 delle migliori pratiche RSA nella gestione dei registri per la sicurezza e la conformità citato da Schroeder ha una lista completa di eventi e aspettative di conformità.

    
risposta data 13.03.2014 - 19:18
fonte
3

SOX ha un requisito di 7 anni .

Questo SANS Whitepaper (2010) potrebbe non essere autorevole, ma evidenzia la matrice delle migliori pratiche tra i vari requisiti.

    
risposta data 10.03.2014 - 22:14
fonte

Leggi altre domande sui tag

Vantaggi di più token CSRF validi Laptop rubato - Passaggi successivi